Güvenlik araştırmacıları, Google Chrome’da aktif olarak kullanılan ancak o zamandan beri düzeltilen sıfırıncı gün güvenlik açığının keşfini, Orta Doğu’daki gazetecileri hedef alan İsrailli bir casus yazılım üreticisine bağladılar.
Siber güvenlik şirketi Avast, sömürüyü bağlantılı güçlü casus yazılımını devlet müşterilerine sağlayan, Saito Tech olarak da bilinen, Tel Aviv merkezli kiralık bir korsanlık şirketi olan Candiru’ya. Candiru, İsrail’in NSO Grubu gibi, yazılımının hükümet ve kolluk kuvvetleri tarafından potansiyel terör ve suçları engellemek için kullanılmak üzere tasarlandığını iddia ediyor, ancak araştırmacılar otoriter rejimlerin casus yazılımları gazetecileri, siyasi muhalifleri ve muhalifleri hedef almak için kullandığını keşfetti. baskıcı rejimler Candiru’ydu onaylanmış ABD Ticaret Departmanı tarafından ABD ulusal güvenliğine aykırı faaliyetlerde bulunduğu için.”
Avast, Mart ayında Candiru’nun Türkiye, Yemen ve Filistin’deki bireyleri ve Candiru’nun bir haber ajansı çalışanları tarafından kullanılan bir web sitesini tehlikeye attığı Lübnan’daki gazetecileri hedef almak için Chrome sıfır gün istismarını kullandığını gözlemlediğini söyledi.
“Saldırganların neyin peşinde olduğunu kesin olarak söyleyemeyiz, ancak saldırganların gazetecilerin peşinden gitmelerinin nedeni, gazetecileri ve üzerinde çalıştıkları hikayeleri doğrudan gözetlemek ya da kaynaklarına ulaşmak ve tehlikeli bilgiler toplamaktır. ve basınla paylaştıkları hassas veriler,” dedi Avast kötü amaçlı yazılım araştırmacısı Jan Vojtěšek. Vojtěšek, “Böyle bir saldırı basın özgürlüğüne tehdit oluşturabilir” dedi.
Lübnan haber ajansının web sitesine yerleştirilen Chrome sıfır gün açığı, kurbanın tarayıcısından dili, saat dilimi, ekran bilgileri, cihaz türü, tarayıcı eklentileri ve cihaz belleği dahil olmak üzere yaklaşık 50 veri noktası toplamak üzere tasarlandı ve muhtemelen yalnızca bunu sağlamak için tasarlandı. özel olarak hedeflenenlerin cihazları nihayetinde tehlikeye atıldı. Bir hedef bulunduğunda, Chrome sıfır günü, araştırmacıların DevilsTongue adını verdiği casus yazılım yükünü teslim etmek için kurbanın makinesinde bir dayanak oluşturur.
DevilsTongue, diğer devlet düzeyindeki casus yazılımlar gibi, mesajlar, fotoğraflar, arama kayıtları da dahil olmak üzere kurbanın telefonunun içeriğini çalabilir ve kurbanın konumunu gerçek zamanlı olarak izleyebilir.
Avast, CVE-2022-2294 olarak izlenen güvenlik açığını 1 Temmuz’da Google’a açıkladı ve 4 Temmuz’da Chrome 103’ün piyasaya sürülmesiyle bir düzeltme iniş günü geldi. o zaman dedi “Vahşi doğada CVE-2022-2294 için bir istismar olduğunun farkındaydı.”
Candiru birinci oldu maruz Microsoft ve Citizen Lab tarafından geçen yıl Temmuz ayında Bulguları, casus yazılım üreticisinin 10 ülkede en az 100 aktivist, gazeteci ve muhalifi hedef aldığını gösterdi. Avast’a göre Candiru, geçen yıl Citizen Lab’in kötü amaçlı yazılımını güncelleme ve tespit çabalarından kaçınma raporunun yayınlanmasının ardından bu son saldırı turuna kadar muhtemelen düşük kaldı.